La directive NIS2 a été transposée en droit français le 17 octobre 2024, et l'ANSSI a précisé les modalités de contrôle au printemps 2025. Beaucoup de PME et d'ETI découvrent à cette occasion qu'elles sont concernées : sont dans le périmètre toutes les entités de plus de 250 salariés ou qui dépassent 50 millions d'euros de chiffre d'affaires dans les secteurs « essentiels » ou « importants » — énergie, transport, eau, santé, finance, infrastructures numériques, services postaux, gestion des déchets, fabrication critique, fournisseurs cloud. La directive change deux choses concrètement : la responsabilité personnelle des dirigeants en cas de manquement, et des sanctions pouvant atteindre 2% du chiffre d'affaires mondial pour les entités essentielles. Le premier réflexe à éviter est de répondre à NIS2 par un programme « tout en parallèle » qui mélange audit, refonte AD, déploiement SIEM et révision des politiques en même temps. Sur les ETI où nous intervenons, cette approche se transforme systématiquement en stagnation : l'équipe IT, souvent réduite à 3-5 personnes pour le périmètre concerné, ne peut pas suivre quatre chantiers simultanés en plus de l'exploitation. La feuille de route qui fonctionne est explicitement séquentielle, organisée en trois vagues de huit semaines, avec des livrables vérifiables à chaque jalon. Vague 1 (semaines 1 à 8) : reconnaissance et quick wins. La phase démarre par un audit OSINT externe complet (sous-domaines exposés, fuites HaveIBeenPwned, comptes nominatifs sur LinkedIn, mentions sur des forums spécialisés ou marketplaces underground), suivi d'un cartographie des actifs critiques (Active Directory, ERP, partages métier, accès distants, IoT industriel le cas échéant). En parallèle, les quick wins se déploient sans attendre : MFA obligatoire sur tous les comptes administratifs (Authenticator app ou YubiKey, pas SMS), sauvegardes offline immuables sur cassettes LTO ou compartiment S3 avec object-lock, désactivation des sessions RDP entrantes par défaut, mise à jour des firmwares VPN et firewall. Ces quick wins seuls réduisent significativement la surface d'attaque sans investissement lourd. Vague 2 (semaines 9 à 16) : segmentation et durcissement. C'est la phase la plus consommatrice de temps et la plus structurante. Sur un environnement Active Directory, le tiering est l'élément clé : niveau 0 (administration domaine), niveau 1 (serveurs métier), niveau 2 (postes utilisateur), avec interdiction stricte qu'un compte d'un niveau s'authentifie sur un niveau supérieur. LAPS pour les mots de passe administrateur locaux (sinon le compromis d'un poste user donne accès à tous les autres), groupe Protected Users pour les comptes sensibles, mise en place d'un bastion administrateur avec MFA matériel. Pour les industriels, la segmentation IT/OT est obligatoire : firewall industriel (Belden Tofino, Cisco Industrial, Fortinet IPS) entre la bureautique et la production, idéalement complété par des diodes de données unidirectionnelles vers la supervision quand la confidentialité de procédé est en jeu. Vague 3 (semaines 17 à 24) : visibilité et réponse à incident. Sans visibilité, on ne peut pas démontrer la conformité — c'est probablement la dimension la plus contrôlée par l'ANSSI. Un SIEM est nécessaire ; Wazuh open-source est largement suffisant pour 80% des PME et ETI, avec un coût d'opération bien inférieur à Splunk ou QRadar. La collecte couvre les Windows Event Logs (4624, 4625, 4672, 4698, 4720 a minima), Sysmon, les firewalls, les logs applicatifs critiques, et — pour les industriels — les logs OT du PLC ou du superviseur SCADA. Le runbook de réponse à incident doit être écrit, mis à disposition hors-ligne (un ransomware bloque souvent les outils en ligne), et testé par au moins un exercice table-top par trimestre. Pour les ETI sans capacité 24/7 interne, un abonnement SOC managé est presque obligatoire — compter 3 000 à 8 000 € par mois selon le périmètre. Un point critique souvent négligé : NIS2 exige la notification d'un incident significatif à l'ANSSI sous 24 heures pour l'alerte initiale, et 72 heures pour le rapport intermédiaire. Avoir le contact ANSSI dans le runbook et avoir simulé la notification (qui doit décider ? avec quelles informations ? quel canal ?) est une obligation pratique. Plusieurs ETI ont découvert pendant un vrai incident qu'elles ne savaient pas par où passer ; cela aggrave systématiquement la situation. Post-programme, la conformité NIS2 n'est pas un état mais un processus. Cela implique des revues mensuelles de sécurité présentées au comité exécutif (les dirigeants étant désormais personnellement responsables, c'est leur intérêt direct), un pentest annuel externe avec plan d'action tracé, des exercices d'incident trimestriels, et une mise à jour annuelle de la cartographie des actifs et des risques. La maturité ISMS — souvent mesurée par référence à ISO 27001 ou au guide d'auto-évaluation ANSSI — est l'indicateur agrégé qui résume tout. Passer de 1,5/5 à 3,5/5 en six mois est faisable ; tenir 3,5/5 sur la durée demande la discipline post-programme. Le piège principal, encore une fois, est l'illusion de faire tout en même temps. NIS2 récompense la cohérence et la traçabilité, pas la simultanéité. Un dossier ANSSI qui montre une trajectoire propre — audit en mois 1, quick wins documentés en mois 2-3, tiering AD en mois 4-5, SIEM en mois 6-7, incident response testé en mois 8 — passe sans difficulté. Un dossier qui présente quatre chantiers semi-finis génère systématiquement des demandes complémentaires et reporte la validation.